Het opslaan van medische data bij een cloudleverancier is veilig, zolang er aan de Algemene Verordering Gegevensbescherming (AVG) wordt voldaan en eventueel aanvullende technische en juridische maatregelen worden getroffen. Het vastleggen van de data bij een niet-EU cloudprovider, zonder vestiging of vertegenwoordiger in de EU, is echter onwenselijk. 

Dit stelt juridisch adviesbureau ICTRecht naar aanleiding van een eigen onderzoek op verzoek van minister Bruins van medische zaken naar de wenselijkheid van de opslag van medische data van Nederlandse patiënten bij niet-EU cloudproviders.

De onderzoekers stellen dat het naleven van de AVG cruciaal is bij het wel of niet wenselijk zijn van het in zee gaan met een cloudprovider. ‘Als de AVG aantoonbaar wordt nageleefd, is medische data goed beveiligd. Specifiek waar het gaat om medische data, gelden extra strenge wettelijke eisen, met name voortvloeiend uit de AVG. Zo is het verplicht om een risicoanalyse uit te voeren, contractuele afspraken te maken ter bescherming en beveiliging van de data en om aanvullende maatregelen te treffen wanneer medische data buiten de EU kan worden opgeslagen’, aldus de onderzoekers.

Als de cloudprovider en afnemer beide aantoonbaar aan dit pakket eisen voldoen, wordt daarmee een hoog niveau van veiligheid gerealiseerd bij de opslag van medische data in de cloud. De rapporteurs benadrukken echter dat het essentieel is dat de cloudprovider ten minste een vestiging of opslaglocatie heeft in de EU. Dit, om de naleving van de AVG effectief af te kunnen dwingen. De AVG is immers alleen van toepassing op organisaties binnen de EU, of organisaties die zich van buiten de EU specifiek richten op personen in de EU.

Het risico van inzage door buitenlandse autoriteiten

De rapporteurs gaan ook in op het gegeven dat een cloudprovider onderworpen kan zijn aan meerdere rechtsstelsels. ‘Een Amerikaans bedrijf dat in diens datacenters in de EU medische data van Nederlanders opslaat voor een Amsterdams ziekenhuis, is gehouden aan de AVG maar ook aan bevelen van Amerikaanse autoriteiten tot inzage.’ 

In de afgelopen jaren zijn volgens de onderzoekers vele vragen gerezen over de reikwijdte van dergelijk inzagerecht van autoriteiten buiten de EU op (medische en andere) data van partijen in de EU. De AVG biedt hiervoor uitkomst, stellen de rapporteurs. ‘De AVG heeft een stevige lijn in het zand getrokken. Het is cloudproviders onder de AVG expliciet verboden om klantdata te verstrekken aan autoriteiten van een land buiten de EU, tenzij de EU of de lidstaat zelf internationale afspraken daarvoor heeft gemaakt met dat land, zoals rechtshulpverdragen waaronder rechtshulpverzoeken gedaan kunnen worden. De meest gebruikte niet-EU cloudproviders met vestiging in de EU geven allen ook aan dat zij zich zeer terughoudend opstellen ten aanzien van dergelijke verzoeken. Zij hebben beleid vastgesteld om verzoekende autoriteiten waar mogelijk door te verwijzen naar de afnemer van de clouddienst. De afnemer is immers de partij die verantwoordelijk is voor het gebruik en eventueel afstaan van de medische data.’

Samenvattend stellen de onderzoekers dat het gebruik van cloudproviders wenselijk is als de cloudprovider allereerst ten minste een vestiging of opslaglocatie in de EU heeft en ten tweede elke vestiging van de cloudprovider buiten de EU zich in een land bevindt waar medische data gelijkwaardig is beschermd als in de EU.

Aanvullende beschermingsmaatregelen

Volgens de onderzoekers zijn er nog aanvullende manieren om medische data verder te beschermen. Zo is er het (afgeleide) verschoningsrecht in de zorg. Op grond van dit in Nederland vastgelegde recht kunnen zorgverleners niet gedwongen worden tot het verstrekken van (toegang tot) medische data, behalve als de patiënt daar (in overleg met de zorgverlener) zelf toestemming voor geeft.

Technische maatregelen die zijn te nemen, zijn het versleutelen van de medische data van Nederlandse patiënten voordat deze worden overgedragen aan de cloudprovider. Een andere technische maatregel is het gebruik van twee- of meerfactorauthenticatie voor toegang. Tevens dienen er technische maatregelen getroffen te zijn om de goede werking van de toegangsbeveiliging te controleren (logging). Tot slot dient zowel het verkeer van de gebruiker naar de cloudprovider, als de opslag van medische data bij de cloudprovider zelf, versleuteld te zijn om opgeslagen medische data optimaal te kunnen beschermen.

Bron: https://www.computable.nl/